RSA：再也没有密码了？

Google已经对密码宣战，但Alisdair Faulkner首席产品官兼ThreatMetrix联合创始人认为，他们在与错误的战争作斗争。 福克纳说：“这个想法值得称赞。” “事实上，大多数人一次又一次地使用相同的简单密码。Google提出了一种物理身份验证器。问题是，网站和用户都需要采用任何一种两因素方案。如果您丢失了身份验证器，然后怎样呢？” 他还指出了在初始注册期间对用户进行身份验证的问题。

ThreatMetrix提出了另一种解决方案，该解决方案不需要用户方面的任何努力。 福克纳说：“我们（以及很多其他人）认为我们需要使安全性成为每个操作的默认组成部分。” “它应该是被动的，而不是侵入性的。在许多交互中，您的行为和设备的组合可以用来识别您，并且只能识别您。”

越轨行为

银行通过注意偏离正常模式的方式来识别可疑交易。 ThreatMetrix将相同种类的逻辑应用于在线身份验证。 他们不一定对您的个人情况有任何了解，但是他们确实知道，例如，特定的电子邮件帐户通常通过三个特定的设备（通常在加利福尼亚州）进行连接。 如果该帐户突然从未知设备（可能在中国）一次开始多次连接，那就是一个危险信号。

福克纳说：“银行，电子商务网站和一些最大的技术公司都使用ThreatMetrix。” “他们监视帐户接管和信用卡欺诈的迹象，并用它来验证新的入学人数。” 他强调说，公司严格在数据中寻找模式，而不是在寻找任何个人信息。

每个人都知道你的名字的地方

这对我来说很有意义。 当我在RSA会议上走来走去时，认识我的人说“嗨！”，而不检查我的徽章的人。 如果一个有吸引力的年轻女人戴着我的徽章，没有人会相信她是我。 徽章不是我的身份。 我不必输入密码即可进入新闻发布室。 他们知道我是谁。 ThreatMetrix计划扩展了您对网络空间的了解。

我问福克纳，假阳性怎么办？ 我们中的许多人都有过信用卡持有的经历，因为我们在一个不寻常的地方购物。 难道ThreatMetrix会错误地阻止我访问银行网站吗？ 他回答说：“我们提供背景信息，但我们不是执法者。该站点可以决定拒绝该交易，也可以对其进行进一步审查。除非这是公然的欺诈行为，否则他们可能不会完全否认它。”

银行业已经使用类似的技术来标记潜在的风险交易。 我完全可以看到将该模型扩展到网站身份验证。 当然，只有在几乎全民参与的情况下才能实现。 如果达到了这个崇高的目标，我们可能再也不必记住诸如8l3yO5JgtxIC或CorrectHorseBatteryStaple之类的密码了。

要查看我们RSA报道中的所有帖子，请查看我们的“显示报告”页面。